Alter Wein in täuschend echtem Schlauch

Von: Michael Tants, Security Consultant, Trend Micro

Schon wieder eine Email-Spamwelle, die vorgibt, eine Telekom-Rechnung zu sein – insofern stoßen wir wieder einmal auf alten Wein, wie so oft bei der Analyse von Schadcode. Doch der steckt in einem neuen Schlauch, der dem echten täuschend ähnlich sieht. Oder sollten wir doch lieber von neuem Wein in alten Schläuchen sprechen? Im Folgenden ein Bildschirmfoto von der aktuellen Spamwelle mit gefälschten Telekomrechnungen:

Rechnung

Gespickt mit Links zum echten Webauftritt der Deutschen Telekom zeigt lediglich der zentrale Link „Ihre detaillierte Rechnung für April 2014,…pdf.“ auf den Webserver zum Download der schädlichen Datei.
hxxp://[blocked]4di.co.in/information/pdf_telekom_rechnung
2014_05_rechnungonline_8290215236sign.zip (2014_05_rechnungonline_8299955236_sign_deutsche_telekom_ag.exe).

Abgesehen von der fehlenden persönlichen Anrede ist die URL, von der der Schadcode heruntergeladen wird, der einzige Hinweis auf den Angriff im inhaltlichen Teil der gespammten Email. Und weil in der HTML-Darstellung eben nur der Name des Links und nicht das Ziel sichtbar ist, werden auch hier viele keinen Hinweis auf den Angriff sehen.

Seit dem ersten Sample, das wir analysieren konnten, haben wir auch beobachtet, dass bei weiterem Herunterladen binär unterschiedliche Dateien auf unserem Testsystem ankamen. Dies ist mit höchster Wahrscheinlichkeit ein Mittel, um die Wirksamkeit von Dateireputationsdiensten auszuhebeln und so ein Anschlagen der Antivirussoftware zu verhindern.

Die Analyse der unterschiedlichen Dateien ergab ein unterschiedliches Verhalten, was als Hinweis auf die Weiterentwicklung der binär unterschiedlichen Schadprogramme zu deuten ist. Es zeigten sich aber identische Listen von IP’s die als C&C Server betrachtbar sind:
hxxp://204.93.183.196:8080/[6cc1e68b]/[965ac71a]/
hxxp://31.192.210.86:8080/
hxxp://58.97.0.5:8080/
hxxp://202.143.185.107:8080/
hxxp://80.48.62.18:8080/
hxxp://173.236.86.214:8080/
hxxp://72.9.156.20:8080/
hxxp://192.163.232.235:8080/
hxxp://182.253.237.6:8080/
hxxp://185.4.66.179:8080/
hxxp://80.91.191.158:8080/

Die genannten Details zu den analysierten Dateien haben wir mit unserer Deep Discovery Analyser-Technologie auf einfache Weise erhalten, indem wir die Beispieldateien automatisiert in eine „Sandbox“ übermittelten. Die Datei wird nach wenigen Minuten als hoch riskant markiert und die involvierten URLs können von Webgateway-Sicherheitslösungen automatisiert als „Blacklist“ verwendet werden. Genauso kann ein Email Security-Produkt die in der „Blacklist“ geführten URLs in eingehenden Emails finden. Im günstigsten Fall ist eine Email nach wenigen Minuten im Posteingang des zum Beispiel durch „Scan Mail“ geschützten Exchange Servers auffällig und kann so extrem zeitnah, ohne Einsatz einer Signatur als Vorsichtsmaßnahme verzögert werden. Dass hier immenses Schadenspotential verhindert wird, ist augenscheinlich und zeigt auch eine Schwäche des traditionellen Ansatzes „Dateiscan mittels herstellergenerierten Signaturen“ gegen die Massen von kurzfristig verändertem Schadcode.

Bezugnehmend auf eine Meldung der Telekom vom 14.05.2013 (http://www.telekom.com/verantwortung/sicherheit/236690) scheint dies wieder eine neue Variante zu sein, denn die Buchungskontonummer (oder zumindest eine gefälschte) wird aufgeführt. Die erwähnte persöhnliche Anrede fehlt allerdings auch in diesem Beispiel.

Wir können quasi vorhersehen, dass Angriffe dieser Art weiter auf uns treffen, vielleicht auch bald mit passender persönlicher Anrede.

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.